Sophos warns of a new actively exploited flaw in Firewall product
2022/09/23 SecurityAffairs — Sophos は、同社の Firewall 製品群に存在するコード・インジェクションの脆弱性 CVE-2022-3236 が、悪用されていることを警告している。この脆弱性 CVE-2022-3236 は、Sophos Firewall のユーザーポータルおよび Webadmin に存在し、この脆弱性の悪用に成功した攻撃者に対して、コード実行 (RCE) を許す可能性がある。
Sophos は、「Sophos Firewall のユーザーポータルおよび Webadmin に存在する、コード・インジェクションの脆弱性により、リモートコード実行にいたる可能性が生じているが、この脆弱性は修正されている。この脆弱性が、主に南アジア地域の特定の組織を標的とした攻撃で、使用されていることを確認しているが、それらの組織に対して、ダイレクトに連絡を行っている。この調査を継続しながら、さらなる詳細を報告していく」と述べている。
同社は、Firewall v19.0 MR1 (19.0.1) 以前の問題に対処している。その一方で、ユーザーポータルと Webadmin を WAN に公開せず、ユーザー ポータルと Webadmin への WAN アクセスを無効にするという緩和策も、顧客に対して推奨している。
さらに同社は、リモート アクセスと管理において、VPN や Sophos Central の使用を推奨している。また、旧バージョンの Firewall を使用している顧客は、サポートされるバージョンにアップグレードする必要がある。
3月にも Sophos は、Firewall 製品群のユーザーポータルおよび Webadmin に存在する、別の脆弱性 CVE-2022-1040 を修正している。この 脆弱性 CVE-2022-1040 は、CVSS 値 9.8 であり、Ver 18.5 MR3 (18.5.3) 以前に影響を及ぼす。この脆弱性は、無名のセキュリティ研究者が、Sophos のバグバウンティ・プログラムを通じて同社に報告したものだ。
Firewall 製品群のユーザーポータルまたは Webadmin インターフェースにアクセス可能なリモートの攻撃者は、この欠陥を悪用して、認証を回避し、任意のコードを実行できるという。
専門家たちは、この脆弱性 CVE-2022-1040 についても、アジアの小規模な組織を狙った攻撃で、積極的に悪用されていると警告している。
今年に入ってからの Sophos Firewall ですが、3月27日の「Sophos Firewall の深刻な脆弱性 CVE-2022-1040 が FIX:認証回避による RCE」と、6月17日の「Sophos Firewall のゼロデイ脆弱性 CVE-2022-1040:中国の DriftingCloud APT が修正前に悪用」という記事がありました。この、CVE-2022-1040 は、CISA KEV に追加されています。また、今回の CVE-2022-3236 も、9月23日付で CISA KEV に追加されています。
IoT OT Security News 
You must be logged in to post a comment.